Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Internes LAN über VPN (SBS2003, ISA2004)

Frage Microsoft Windows Server

Mitglied: thommy75

thommy75 (Level 1) - Jetzt verbinden

08.02.2010, aktualisiert 18.10.2012, 7030 Aufrufe, 9 Kommentare

Kein Zugriff auf internes LAN über VPN (PPTP)

Hallo im Forum,

Möchte gern von unterwegs (eigenes Notebook oder ggf. Kunden-PC) auf mein LAN zugreifen. Dazu habe ich bereits meinen SBS2003 (Premium, R2) und den ISA2004 mittels Assistenten auf VPN-Einwahl (PPTP) konfiguriert.

Soweit funktioniert dies auch (VPN-Verbindung kommt zustande, PING und TRACERT mit IP oder Name auf Server geht), jedoch habe ich überhaupt keinen Zugriff auf das interne LAN (z.B. NAS, Drucker usw.).

DNS scheint ok zu sein, denn ein "PING [CLIENTNAME] gibt zumindest die richtige IP-Adresse zurück, der Ping selber geht aber schief...
Netzlaufwerke (z.B. vom NAS) können weder mit IP oder Name verbunden werden - lediglich die Freigaben vom Server gehen.
Habe bereits eine Regel im ISA erstellt: "Gesamter ausgehender Datenverkehr", "Von: VPN-Clients", "Zu: Intern" - ohne Erfolg. Eine Abfrage im ISA hat ebenfalls nichts Informatives gebracht.

Habe ich irgendwo etwas übersehen? Scheint, als blockiere irgendwas den kompletten Zugriff auf das interne LAN.
Des Weiteren ist mir aufgefallen, das ich in der Netzwerkumgebung keine Clients sehe, wenn ich mich mit meinem Notebook (das Mitglied der Domäne ist) per VPN auf meinen Server einwähle.

Gruss, thommy75
Mitglied: aqui
08.02.2010, aktualisiert 18.10.2012
Immer und immer wieder das gleiche....
  • Windows Firewall nicht angepasst an die IP des remoten Netzwerkes (Sharing Zugriff)
  • ICMP (Ping) nicht aktiviert am Endgerät (Haken bei Auf Echos antworten.. )
  • Dein VPN Server steht hinter einem Router. Wenn du also ein PC/Endgerät im Netz anpingst merkt der das der Ping mit einer Quell IP kommt die nicht aus dem lokalen Netzwerk kommt. Damit schickt er die Antwort dann an sein Standardgateway also dem Router und der schickts in Nirwana, da er vermutlich keine statische Route zum VPN Netz via next Hop Server IP Adresse hat.

Wenn du das alles beachtest funktioniert das VPN auf Anhieb. Mit einem VPN fähigen Router wären das 2 Mausklicks gewesen...
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html
Bitte warten ..
Mitglied: thommy75
08.02.2010 um 17:56 Uhr
Hallo aqui,

Immer und immer wieder das gleiche....
Dito.

Mit einem VPN fähigen Router wären das 2 Mausklicks gewesen...
Sorry, aber solche Tipps helfen meistens nicht weiter, ich habe (möchte) halt keinen VPN-Router, wenn ich bereits eine VPN-fähige Firewall mit dahinterstehendem Server habe...
Ausserdem ist meiner Ansicht nicht das VPN selbst das Problem (Verbindung steht ja), sondern vermute ich das Problem am ISA bzw. am SBS - irgendwas blockt die Verbindung zum internen LAN.

Trotzdem: Windows-Firewall und ICMP schliess ich jetzt mal aus, da neben normalen XP-Clients auch Netzwerk-Drucker und ein (Linux-)NAS betroffen sind - und da wäre es mir neu, wenn da eine Firewall drin wäre (bei meinen ist jedenfalls nix drin). D.h. ich kann via VPN auf kein Gerät innerhalb des internen SBS-LANs zugreifen - nur auf den Server!

Dein dritter Punkt stimmt mich nachdenklich: Auf den internen LAN-Clients ist kein Standard-Gateway eingetragen (Proxy über ISA) - hat das vielleicht was zu sagen? Eigentlich sollte der ISA ja richtig routen?

Gruss, thommy75
Bitte warten ..
Mitglied: aqui
08.02.2010 um 19:22 Uhr
Kann ja nicht. Wenn dein VPN Client eine IP aus einem anderne Netz hat kann der angepingte Client ja gar keine Antwort zurückschicken.
Obwohl du ja alles ausschliessen kannst und fast alle Tips dir nicht helfen hast du zu der Konfig ja gar nichts gesagt
Was sagt also ein ipconfig auf dem VPN Client zur IP am VPN Adapter ??
Ggf. musst du also schon mit route add zielnetz maske Gateway das am Client nachtragen. All die Nachteile einer VPN Verbindung hinter einer NAT Firewall zu etablieren...ooops sorry, das hilft ja nicht weiter !
Was sagt ein Traceroute und/oder pathping ?? Wo endet der..?? Das Raten geht lustig weiter...
Bitte warten ..
Mitglied: thommy75
09.02.2010 um 11:28 Uhr
Hallo aqui,

Du hast ja recht, nur weis ich halt nicht, was für Deine Diagnose relevant ist - ich kann ja nicht sämtliche Konfigs und logs posten...
Aber hier mal für den Anfang die Interessantesten:

Ein ipconfig /all auf dem per VPN verbundenen Clients an einem fernen DSL-Anschluss:
Hostname. . . . . . . . . . . . . : notebook1
Primäres DNS-Suffix . . . . . . . : domäne.de
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert. . . . . . . : Nein
WINS-Proxy aktiviert. . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : domäne.de
Ethernetadapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Marvell Yukon 88E8042 PCI-E Fast Ethernet Controller
Physikalische Adresse . . . . . . : 00-22-64-77-8A-2A
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IP-Adresse. . . . . . . . . . . . : 192.168.179.20
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.179.1
DHCP-Server . . . . . . . . . . . : 192.168.179.1
DNS-Server. . . . . . . . . . . . : 192.168.179.1
Lease erhalten. . . . . . . . . . : Dienstag, 9. Februar 2010 10:20:03
Lease läuft ab. . . . . . . . . . : Freitag, 19. Februar 2010 10:20:03
PPP-Adapter VPN-Verbindung zu TIGER3:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physikalische Adresse . . . . . . : 00-53-45-00-00-00
DHCP aktiviert. . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 10.1.0.12
Subnetzmaske. . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . :
DNS-Server. . . . . . . . . . . . : 10.0.0.1
Primärer WINS-Server. . . . . . . : 10.0.0.1

Ein Ping zum Server sieht so aus:
Ping tiger3.domäne.de [10.0.0.1] mit 32 Bytes Daten:
Antwort von 10.0.0.1: Bytes=32 Zeit=102ms TTL=128

Ein Ping z.B. zum NAS endet so:
Ping jaguar.domäne.de [10.0.0.30] mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.

Tracert zum Server:
Routenverfolgung zu tiger3.domäne.de [10.0.0.1] über maximal 30 Abschnitte:
1 102 ms 101 ms 101 ms tiger3.domäne.de [10.0.0.1]
Ablaufverfolgung beendet.

Tracert z.B. zum NAS endet so:
Routenverfolgung zu jaguar.domäne.de [10.0.0.30] über maximal 30 Abschnitte:
1 102 ms 101 ms 102 ms 10.1.0.10
2 * * * Zeitberschreitung der Anforderung.
usw.

Übrigens: Ein nslookup zum Server (tiger3.domäne.de) bringt das hier (???):
Server: fritz.fon.box
Address: 192.168.179.1
*** tiger3.domäne.de wurde von fritz.fon.box nicht gefunden: Non existent domain

Und zum Thema Standard-Gateway im internen LAN noch ein ipconfig innerhalb der Domäne:
Windows-IP-Konfiguration
Hostname. . . . . . . . . . . . . : notebook1
Primäres DNS-Suffix . . . . . . . : domäne.de
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert. . . . . . . : Nein
WINS-Proxy aktiviert. . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : domäne.de + domäne.de
Ethernetadapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix: domäne.de
Beschreibung. . . . . . . . . . . : Marvell Yukon 88E8042 PCI-E Fast Ethernet Controller
Physikalische Adresse . . . . . . : 00-22-64-77-8A-2A
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IP-Adresse. . . . . . . . . . . . : 10.0.0.23
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :
DHCP-Server . . . . . . . . . . . : 10.0.0.1
DNS-Server. . . . . . . . . . . . : 10.0.0.1
Primärer WINS-Server. . . . . . . : 10.0.0.1
Lease erhalten. . . . . . . . . . : Dienstag, 9. Februar 2010 10:43:55
Lease läuft ab. . . . . . . . . . : Dienstag, 19. Januar 2038 04:14:07

Möchtest Du sonst noch Infos? Bitte posten!

Gruss, thommy75
Bitte warten ..
Mitglied: aqui
11.02.2010 um 12:54 Uhr
Ein route print auf dem Client wäre noch hilfreich !
Dort kannst du genau sehen wie sich der Client routingtechnisch verhält bzw. für welche Subnetze er Routing Einträge hat !!
Bitte warten ..
Mitglied: thommy75
11.02.2010 um 13:39 Uhr
Hallo aqui,

Vielen Dank für die Antwort.
Ok, hier mal diverse routes auf dem Client...

Innerhalb der Domäne:
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 22 64 77 8a 2a ...... Marvell Yukon 88E8042 PCI-E Fast Ethernet Controller - Paketplaner-Miniport
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
10.0.0.0 255.255.255.0 10.0.0.23 10.0.0.23 20
10.0.0.23 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.0.0.23 10.0.0.23 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 240.0.0.0 10.0.0.23 10.0.0.23 20
255.255.255.255 255.255.255.255 10.0.0.23 10.0.0.23 1
Ständige Routen:
Keine

Extern ohne VPN-Verbindung:
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 22 64 77 8a 2a ...... Marvell Yukon 88E8042 PCI-E Fast Ethernet Controller - Paketplaner-Miniport
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
0.0.0.0 0.0.0.0 192.168.179.1 192.168.179.20 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.179.0 255.255.255.0 192.168.179.20 192.168.179.20 20
192.168.179.20 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.179.255 255.255.255.255 192.168.179.20 192.168.179.20 20
224.0.0.0 240.0.0.0 192.168.179.20 192.168.179.20 20
255.255.255.255 255.255.255.255 192.168.179.20 192.168.179.20 1
Standardgateway: 192.168.179.1
Ständige Routen:
Keine

Extern mit VPN-Verbindung:
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 22 64 77 8a 2a ...... Marvell Yukon 88E8042 PCI-E Fast Ethernet Controller - Paketplaner-Miniport
0x20004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
0.0.0.0 0.0.0.0 192.168.179.1 192.168.179.20 20
10.0.0.0 255.0.0.0 10.1.0.11 10.1.0.11 1
10.1.0.11 255.255.255.255 127.0.0.1 127.0.0.1 50
10.255.255.255 255.255.255.255 10.1.0.11 10.1.0.11 50
80.152.182.215 255.255.255.255 192.168.179.1 192.168.179.20 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.179.0 255.255.255.0 192.168.179.20 192.168.179.20 20
192.168.179.20 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.179.255 255.255.255.255 192.168.179.20 192.168.179.20 20
224.0.0.0 240.0.0.0 10.1.0.11 10.1.0.11 50
224.0.0.0 240.0.0.0 192.168.179.20 192.168.179.20 20
255.255.255.255 255.255.255.255 10.1.0.11 10.1.0.11 1
255.255.255.255 255.255.255.255 192.168.179.20 192.168.179.20 1
Standardgateway: 192.168.179.1
Ständige Routen:
Keine

Hoffe, das hilft weiter bei meinem Problem.
Bitte bei weiteren Fragen posten.

Gruss, thommy75
Bitte warten ..
Mitglied: aqui
11.02.2010, aktualisiert 18.10.2012
OK das sieht soweit ganz OK aus. Nur mal dumm nachgefragt wegen des klassischen Anfängerfehlers in diesem Umfeld, da du bei VPN Zugriff ja nicht mehr die internen Resourcen nutzen kannst:
Den Haken: "Standardgateway für das remote Netzwerk verwenden !" hast du entfernt am Client, oder ?
Nachzulesen hier:
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html ...
Bitte warten ..
Mitglied: thommy75
11.02.2010 um 19:28 Uhr
Beides schon probiert - mit und ohne Haken - , aber keine Änderung...

Aber da mich die Sache einfach nicht in Ruhe lässt, habe ich meinen Server nochmal durchforstet und im ISA auf folgendes gestossen (habe ich schon früher bemerkt und einen Beitrag verfasst, aber wieder vergessen da bisher alles funktioniert hat - bis jetzt mit der VPN-Geschichte):

Der ISA Server hat Routen über den Netzwerkadapter extern ermittelt, die mit dem Netzwerkelement, dem dieser Netzwerkadapter angehört, nicht übereinstimmen.
Wenn Netzwerke richtig konfiguriert sind, müssen die IP-Adressbereiche jedes Netzwerkelements auf Arrayebene alle IP-Adressen enthalten, die durch dessen Netzwerkadapter entsprechend der Definition in der Routingtabelle routbar sind.
Andernfalls werden gültige Pakete möglicherweise verworfen, weil sie gespooft sind. Die folgenden Bereiche sind in den IP-Adressbereichen des Netzwerks enthalten, können jedoch nicht über einen der Netzwerkadapter weitergeleitet werden: 10.255.255.255-10.255.255.255;.
Beachten Sie, dass dieses Ereignis u. U. einmal generiert wird, wenn Sie eine Route hinzugefügt haben, ein Remotestandortnetzwerk erstellen oder den Netzwerklastenausgleich konfigurieren. Sie können diese Meldung ignorieren, wenn sie nicht wiederholt auftritt.

Diese Meldung wird in das Ereignisprotokoll geschrieben, wenn z.B. ISA oder der ganze Server neu gestartet wird...

Hat das vielleicht was damit zu tun?

Hier mal noch Statics vom Server:
Windows-IP-Konfiguration
Hostname . . . . . . . . . . . . : tiger3
Primäres DNS-Suffix . . . . . . . : domäne.de
Knotentyp . . . . . . . . . . . . : Unbekannt
IP-Routing aktiviert . . . . . . : Ja
WINS-Proxy aktiviert . . . . . . : Ja
DNS-Suffixsuchliste . . . . . . . : domäne.de
PPP-Adapter RAS-Server-(Einwähl-)Schnittstelle:
Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physikalische Adresse . . . . . . : 00-53-45-00-00-00
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 10.1.0.10
Subnetzmaske . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . :
NetBIOS über TCP/IP . . . . . . . : Deaktiviert
Ethernet-Adapter intern:
Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet #2
Physikalische Adresse . . . . . . : 00-22-19-BA-C2-10
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 10.0.0.1
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :
DNS-Server . . . . . . . . . . . : 10.0.0.1
Primärer WINS-Server . . . . . . : 10.0.0.1
Ethernet-Adapter extern:
Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
Physikalische Adresse . . . . . . : 00-22-19-BA-C2-0F
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.178.2
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.178.1
DNS-Server . . . . . . . . . . . : 10.0.0.1
NetBIOS über TCP/IP . . . . . . . : Deaktiviert

Hier noch route print vom Server:
IPv4-Routentabelle
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x10002 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x10003 ...00 22 19 ba c2 10 ...... Broadcom NetXtreme Gigabit Ethernet #2
0x10004 ...00 22 19 ba c2 0f ...... Broadcom NetXtreme Gigabit Ethernet
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.178.1 192.168.178.2 1
10.0.0.0 255.255.255.0 10.0.0.1 10.0.0.1 10
10.0.0.1 255.255.255.255 127.0.0.1 127.0.0.1 10
10.1.0.10 255.255.255.255 127.0.0.1 127.0.0.1 50
10.255.255.255 255.255.255.255 10.0.0.1 10.0.0.1 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.178.0 255.255.255.0 192.168.178.2 192.168.178.2 20
192.168.178.2 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.178.255 255.255.255.255 192.168.178.2 192.168.178.2 20
224.0.0.0 240.0.0.0 10.0.0.1 10.0.0.1 10
224.0.0.0 240.0.0.0 192.168.178.2 192.168.178.2 20
255.255.255.255 255.255.255.255 10.0.0.1 10.0.0.1 1
255.255.255.255 255.255.255.255 192.168.178.2 192.168.178.2 1
Standardgateway: 192.168.178.1
Ständige Routen:
Keine

Noch eine Idee?

Gruss, thommy75
Bitte warten ..
Mitglied: aqui
12.02.2010 um 15:26 Uhr
Könnte sein. Normal ist dieser Fehler jedenfalls nicht. Er deutet darauf hin das du ggf. irgendwo einen Masken Mismatch im 10er Netz hast. Er meckert ja an das die Einstellungen nicht mit dem Vorhanden Netz am Adapter übereinstimmen.
Das solltest du also besser nochmal genau prüfen !!
Irgendwo ist da ein Zahlendreher oder eine falsche Netzwerkmaske !
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
VPN für LAN-Clients über Asus RT-AC51-U hinter Fritz 7490 (3)

Frage von Samuel113 zum Thema Router & Routing ...

Router & Routing
gelöst FritzBox VPN nur für internes Netz nutzen (15)

Frage von aif-get zum Thema Router & Routing ...

Router & Routing
gelöst Raspberry PI als VPN Client - Zugriff auf VPN LAN (8)

Frage von PeterH96 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
Suche passender Treiber (12)

Frage von stolli zum Thema Windows Server ...